Introduzione al Sistema dei Nomi di Dominio (DNS)<\/h2>\n
Prima di entrare nello specifico del DNS poisoning, parliamo del Domain Name System<\/a>. Anche se la navigazione in un sito web sembra qualcosa di semplice, sotto il cofano del server cose accadono molte.<\/p>\n Per portarvi da ‘A’ a ‘B’ sono coinvolti molti elementi:<\/p>\n Nel complesso, un DNS semplifica la ricerca di un nome di dominio per l’utente finale. \u00c8 una parte fondamentale del web e, come tale, \u00e8 costutuito da molte parti mobili.<\/p>\n Analizzeremo il processo di ricerca in s\u00e9 pi\u00f9 avanti, anche se \u00e8 gi\u00e0 chiaro che il DNS ha un lavoro vitale da svolgere.<\/p>\n\n Scusateci se offriamo quella che sembra un’analogia astratta.<\/p>\n Le attivit\u00e0 che portano le persone in luoghi remoti, come l’alpinismo o la vela, condividono un pericolo specifico: perdersi e non essere trovati in tempo. Il modo tradizionale di localizzare le persone bloccate \u00e8 stato quello di utilizzare le coordinate. Sono esplicite e offrono una precisione millimetrica.<\/p>\n Tuttavia, questo processo ha degli svantaggi. In primo luogo, dovete sapere come calcolare le coordinate di qualsiasi luogo – difficile se siete in una parte remota del mondo. In secondo luogo, dovete articolare quelle coordinate per la squadra di soccorso. Un numero sbagliato e le conseguenze sono disastrose.<\/p>\n L’applicazione what3words<\/a> prende il complesso processo di calcolo e trasmissione delle coordinate e lo trasforma in un riassunto in tre parole della vostra posizione generale. Per esempio, prendete il quartier generale di Automattic<\/a>:<\/p>\n Le coordinate della posizione sono 37.744159, -122.421555<\/b>. A meno che tu siate navigatori esperti, per\u00f2, \u00e8 improbabile che lo conosciate. Anche se lo conosceste, metterlo nelle mani di qualcuno che possa aiutarvi \u00e8 una ipotesi poco probabile.<\/p>\n In poche parole, what3words prende un insieme astratto di coordinate e le traduce in tre parole memorizzabili. Nel caso degli uffici di Automattic, \u00e8 decent.transfers.sleeps<\/b>:<\/p>\n Questo mette il complesso posizionamento globale nelle mani di quasi chiunque abbia accesso all’applicazione. Ha gi\u00e0 salvato molte vite<\/a>.<\/p>\n Questo si collega ad una ricerca DNS perch\u00e9 il processo \u00e8 simile. Nel caso di what3words, il soccorritore chiede all’app le coordinate di una stringa di parole. La richiesta viene inviata attraverso i server per cercare le coordinate e tornare all’utente finale una volta trovate.<\/p>\n Una ricerca DNS ha un flusso simile<\/a>:<\/p>\n Uno degli svantaggi di what3words \u00e8 che una stringa di parole non \u00e8 accurata come un insieme di coordinate. Questo significa che potete individuare una posizione generale velocemente ma potreste impiegare pi\u00f9 tempo per trovare la persona bloccata.<\/p>\n Anche una ricerca DNS ha degli svantaggi e gli attaccanti malintenzionati possono approfittarne. Prima di approfondire questo punto, per\u00f2, facciamo una breve deviazione per parlare del caching e di come questo pu\u00f2 velocizzare una ricerca.<\/p>\n Molto simile al web caching, il DNS caching pu\u00f2 aiutarvi a richiamare le query regolari al server. Questo render\u00e0 pi\u00f9 veloce il processo di ricerca di un indirizzo IP per ogni nuova visita.<\/p>\n In breve, la cache si trova all’interno del sistema del server DNS e taglia il viaggio extra verso il server ricorsivo. Questo significa che un browser pu\u00f2 recuperare un indirizzo IP direttamente dal server DNS e completare la richiesta GET<\/b> pi\u00f9 velocemente.<\/p>\n Troverete cache DNS in tutto il vostro sistema. Per esempio, il vostro computer avr\u00e0 una cache DNS, cos\u00ec come il vostro router e il vostro internet service provider (ISP). Spesso non vi rendete conto di quanto la vostra esperienza di navigazione si basi sulla cache del DNS – fino a quando non siete vittima di DNS poisoning, ecco.<\/p>\n Ora che abbiamo chiarito il concetto di ricerca del DNS e l’intero processo di ricerca di un indirizzo IP, possiamo vedere come pu\u00f2 essere sfruttato.<\/p>\n Sentirete spesso parlare di DNS poisoning come “spoofing” perch\u00e9 avere un sito “assomigliante” ma fraudolento nella catena fa parte dell’attacco.<\/p>\n Parleremo pi\u00f9 in dettaglio di tutti questi aspetti, ma sappiate che il DNS poisoning o spoofing \u00e8 un attacco dannoso che pu\u00f2 causare problemi mentali, monetari e di risorse per gli utenti e per internet.<\/p>\n Prima, per\u00f2, analizziamo l’avvelenamento della cache.<\/p>\n Dato che l’intero processo di spoofing \u00e8 complesso, gli aggressori hanno creato molti metodi per raggiungere il loro obiettivo:<\/p>\n Un birthday attack<\/em> si basa sul “problema del compleanno<\/a>” Questo \u00e8 uno scenario probabilistico che dice (in poche parole) che, se ci sono 23 persone in una stanza, c’\u00e8 il 50% di probabilit\u00e0 che due condividano lo stesso compleanno. Se ci sono pi\u00f9 persone nella stanza, le probabilit\u00e0 aumentano.<\/p>\n Questo si traduce in DNS poisoning basato sull’identificatore che collega la richiesta di ricerca del DNS alla risposta GET<\/b>. Se l’attaccante invia un certo numero di richieste e risposte casuali, c’\u00e8 un’alta probabilit\u00e0 che risulti una corrispondenza in un tentativo di avvelenamento riuscito. A partire da circa 450 richieste, la probabilit\u00e0 \u00e8 di circa il 75%, e a 700 richieste, un attaccante \u00e8 quasi garantito di craccare il server.<\/p>\n In breve, gli attacchi al server DNS avvengono nella maggior parte dei casi perch\u00e9 questo d\u00e0 ad un utente malintenzionato una maggiore flessibilit\u00e0 per manipolare il vostro sito e i dati degli utenti. Non c’\u00e8 anche una verifica dei dati del DNS perch\u00e9 le richieste e le risposte non usano il Transmission Control Protocol (TCP)<\/a>.<\/p>\n Il punto debole della catena \u00e8 la cache del DNS perch\u00e9 questa funge da deposito per le voci del DNS. Se un attaccante pu\u00f2 iniettare voci contraffatte nella cache, ogni utente che vi accede si trover\u00e0 in un sito fraudolento fino alla scadenza della cache.<\/p>\n Gli attaccanti cercheranno spesso alcuni segnali, punti deboli e punti dati da colpire. Lavorano per individuare le query DNS che non sono state ancora memorizzate nella cache perch\u00e9 il server ricorsivo dovr\u00e0 intraprendere la query ad un certo punto. Per estensione, un attaccante cercher\u00e0 anche il nameserver a cui andr\u00e0 una query. Una volta ottenuto questo, la porta che il resolver utilizza e il numero di ID della richiesta sono vitali.<\/p>\n Anche se non \u00e8 necessario soddisfare tutti questi requisiti – dopo tutto, un attaccante pu\u00f2 accedere ai server ricorrendo a diversi metodi – spuntare queste caselle gli semplifica il lavoro.<\/p>\n Nel corso degli anni ci sono stati esempi importanti di DNS poisoning. In alcuni casi, si tratta di atti intenzionali. Per esempio, la Cina gestisce un firewall su vasta scala (il cosiddetto “Grande Firewall della Cina”) per controllare le informazioni ricevute dagli utenti di internet.<\/p>\n In poche parole, avvelenano i propri server reindirizzando i visitatori verso siti non approvati dallo Stato come Twitter e Facebook. In un caso<\/a>, le restrizioni cinesi si sono persino fatte strada nell’ecosistema del mondo occidentale.<\/p>\n Un errore di rete di un ISP svedese ha servito informazioni di root DNS da server cinesi. Questo significava che gli utenti in Cile e negli Stati Uniti venivano reindirizzati altrove quando accedevano ad alcuni siti di social media.<\/p>\n In un altro esempio<\/a>, gli hacker del Bangladesh che protestavano contro i maltrattamenti in Malesia hanno avvelenato molti domini risalenti a Microsoft, Google, YouTube e altri siti di alto profilo. Questo sembra essere stato un caso di dirottamento del server piuttosto che un problema lato client o spam.<\/p>\n Anche WikiLeaks non \u00e8 immune da attacchi di DNS poisoning. Un potenziale dirottamento del server<\/a> qualche anno fa ha fatto s\u00ec che i visitatori del sito fossero reindirizzati ad una pagina dedicata agli hacker.<\/p>\n Il DNS poisoning non deve essere necessariamente complicato. I cosiddetti “hacker etici” – cio\u00e8 coloro che cercano di esporre le falle della sicurezza invece di infliggere danni – hanno metodi semplici<\/a> per testare lo spoofing sui propri computer.<\/p>\n A parte essere reindirizzati, per\u00f2, all’inizio non sembrano esserci effetti a lungo termine del DNS poisoning. In realt\u00e0, ci sono – e ne parleremo dopo.<\/p>\n Un attaccante che spera di eseguire il DNS poisoning su un server si pone tre principali obiettivi:<\/p>\n Naturalmente, non \u00e8 difficile capire perch\u00e9 il DNS poisoning e lo spoofing costituiscono un problema per gli ISP, gli operatori server e gli utenti finali.<\/p>\n Come abbiamo notato, lo spoofing \u00e8 un problema enorme per gli ISP, tanto che ci sono strumenti come CAIDA Spoofer<\/a> per aiutarvi.<\/p>\n Qualche anno fa, le statistiche mostravano<\/a> che c’erano circa 30.000 attacchi al giorno. Da quando il rapporto \u00e8 stato pubblicato, il numero sar\u00e0 quasi certamente aumentato. Inoltre, come nel caso dell’esempio della sezione precedente, la consegna di siti oggetto di spoofing attraverso una rete porta in primo piano i problemi di fiducia degli utenti, con tutte le preoccupazioni sulla privacy.<\/p>\n Indipendentemente da chi siete, le vittime di poisoning e spoofing corrono diversi rischi:<\/p>\n Ci sono anche altri effetti correlati all’avvelenamento del DNS. Ad esempio, potreste non essere in grado di applicare alcun aggiornamento di sicurezza al vostro sistema mentre il processo di recupero \u00e8 in pieno svolgimento. Questo lascia il vostro computer vulnerabile pi\u00f9 a lungo.<\/p>\n Inoltre, considerate il costo e la complessit\u00e0 di questo processo di pulizia, dato che interesser\u00e0 tutti lungo la catena. I prezzi pi\u00f9 alti per tutti i servizi collegati sono solo uno degli aspetti negativi.<\/p>\n Lo sforzo per eliminare il DNS poisoning \u00e8 enorme. Dato che lo spoofing colpisce sia le configurazioni lato client che lato server, eliminarlo da una non significa che sia sparito da tutte.<\/p>\n Ci sono due aree colpite dal DNS poisoning – client e server. Daremo un’occhiata a quello che si pu\u00f2 fare per prevenire questo dannoso attacco su entrambe le facce della medaglia.<\/p>\n Iniziamo con quello che Internet nel suo complesso sta facendo lato server.<\/p>\n Anche se abbiamo parlato molto di DNS in questo articolo, non abbiamo fatto notare quanto sia antiquata questa tecnologia. In breve, il DNS non \u00e8 la tecnologia pi\u00f9 adatta per una moderna esperienza di navigazione web per l’incidenza di alcuni fattori. Per cominciare, non \u00e8 criptato e, senza alcune considerazioni essenziali di convalida, questo fermerebbe molti attacchi di DNS poisoning.<\/p>\n Un modo rapido per evitare che gli attacchi diventino pi\u00f9 forti \u00e8 attraverso una semplice strategia di registrazione<\/a>. Questo esegue un confronto diretto tra la richiesta e la risposta per verificarne la corrispondenza.<\/p>\n Tuttavia, la risposta a lungo termine (secondo gli esperti) \u00e8 l’utilizzo del Domain Name System Security Extensions (DNSSEC)<\/a>. Si tratta di una tecnologia progettata per combattere il DNS poisoning e, in termini semplici, mette in atto diversi livelli di verifica.<\/p>\n Andando pi\u00f9 a fondo, il DNSSEC utilizza come verifica la “crittografia a chiave pubblica”. Questo \u00e8 un modo per firmare i dati come genuini e degni di fiducia. Viene memorizzato insieme alle vostre altre informazioni DNS e il server ricorsivo lo usa per controllare che nessuna delle informazioni che riceve sia stata alterata.<\/p>\n Rispetto ad altri protocolli e tecnologie internet, il DNSSEC \u00e8 relativamente nuovo – ma \u00e8 abbastanza maturo da essere implementato nel livello principale di internet, anche se non \u00e8 ancora mainstream. Il Public DNS di Google<\/a> \u00e8 un servizio che supporta pienamente il DNSSEC, ma ne spuntano altri in continuazione.<\/p>\n Anche cos\u00ec, ci sono ancora vari inconvenienti del DNSSEC che vale la pena notare:<\/p>\n Anche cos\u00ec, il DNSSEC \u00e8 il futuro, sul lato server, almeno. Per quanto riguarda voi come utenti finali, avete a disposizione alcune misure preventive.<\/p>\n Ci sono pi\u00f9 modi per prevenire l’avvelenamento del DNS sul lato client, anche se nessuno da solo sar\u00e0 solido come il DNSSEC lato server implementato da un esperto. Tuttavia, ci sono alcune semplici cose che pu\u00f2 fare il proprietario di un sito:<\/p>\n Come utenti finali, potete fare anche altre cose per prevenire il poisoning e lo spoofing:<\/p>\n Mentre non potete sbarazzarvi del tutto del DNS poisoning, potete evitare che accada il peggio. Come utenti finali, non avete un gran controllo su come il server gestisce gli attacchi. Allo stesso modo, i sysadmin non hanno il controllo su ci\u00f2 che accade nel browser. Dunque, \u00e8 un lavoro di squadra per impedire che il pi\u00f9 dannoso degli attacchi colpisca l’intera catena.<\/p>\n\n Gli attacchi Internet sono frequenti. Il DNS poisoning (o spoofing) \u00e8 un attacco comune che pu\u00f2 colpire milioni di utenti se non controllato. Questo perch\u00e9 il protocollo DNS \u00e8 vecchio e inadatto alla moderna navigazione web – anche se nuove tecnologie sono all’orizzonte.<\/p>\n\n
Il Processo di Ricerca del DNS<\/h2>\n
![\"Gli](\"https:\/\/kinsta.com\/wp-content\/uploads\/2021\/07\/automattic-map.png\")
![\"Il](\"https:\/\/kinsta.com\/wp-content\/uploads\/2021\/07\/what3words.png\")
\n
Caching del DNS<\/h3>\n
Cos’\u00e8 il DNS Poisoning<\/h2>\n
Come Funziona lo Spoofing del DNS e il Cache Poisoning<\/h3>\n
\n
![\"Un](\"https:\/\/kinsta.com\/wp-content\/uploads\/2021\/07\/birthday-paradox.png\")
Esempi Reali di DNS Poisoning<\/h3>\n
Perch\u00e9 il Poisoning del DNS e lo Spoofing Sono Cos\u00ec Dannosi<\/h3>\n
\n
![\"Il](\"https:\/\/kinsta.com\/wp-content\/uploads\/2021\/07\/spoofer-tool.png\")
\n
Come Prevenire il DNS Poisoning<\/h2>\n
Come Internet Cerca di Prevenire il DNS Poisoning e lo Spoofing Lato Server<\/h3>\n
\n
Come Prevenire il DNS Poisoning Lato Client<\/h3>\n
\n
\n
Riepilogo<\/h2>\n